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はじめにお読みください 


• 本書について 

本書は、本製品の八ードウェア IP フィルタ機能に関する設定例お 
よびコマンドリファレンスを記載したマニュアルです。本製品を 
ご使用になる前には、はじめに「導入ガイド」をお読みください。 
また、コマンドラインインターフェースの詳細については、付属 
CD に収録されている「リファレンスガイド」を參照してください。 

• 「導入ガイド」および「リファレンスガイド」に記載の 
IP フィルタ機能について 

八ードウェア IP フィルタ機能の実装に伴い、「導入ガイド」およ 
び「リファレンスガイド」に記載の IP フィルタが「ソフトウェア 
IP フィルタ」へと名称変更になりました。該当部分については、 
「ソフトウェア IP フィルタ」と読み替えてください。 

導入ガイド ： P10、 61、72、119 

リファレンスガイド： P17、 54、100 






■本書の著作権は弊社に帰属します。本書の一部または全部を弊社に無断で転載、複製、改変などを行うこ 
とは禁じられております。 

■ BUFFALO™ は、株式会社メルコホールディングスの商標です。本書に記載されている他社製品名は、 
一般に各社の商標または登録商標です。 

本書では™、®、◎などのマークは記載していません。 

■本書に記載された仕様、デザイン、その他の内容については、改良のため予告なしに変更される場合があ 
り、現に購入された製品とは一部異なることがあります。 

■本書の内容に関しては万全を期して作成していますが、万一ご不審な点や誤り、記載漏れなどがありまし 
たら、お買い求めになった販売店または弊社サボートセンターまでご連絡ください。 

■本製品は一般的なオフィスや家庭の 0A 機器としてお使いください。万一、一般 0A 機器以外として使用さ 
れたことにより損害が発生した場合、弊社はいかなる責任も負いかねますので、あらかじめご了承ください。 

• 医療機器や人命に直接的または間接的に関わるシステムなど、高い安全性が要求される用途には使用し 
ないでください。 

-一般 OA 機器よりも高い信頼性が要求される機器や電算機システムなどの用途に使用するときは、 こ'使 
用になるシステムの安全設計や故障に対する適切な処置を万全におこなってください。 

■本製品は、日本国内でのみ使用されることを前提に設計、製造されています。日本国外では使用しないで 
ください。また、弊社は、本製品に間して日本国外での保守または技術サボートを行っておりません。 

■本製品のうち、外国為替および外国貿易法の規定により戦略物資等（または役務）に該当するものについ 
ては、日本国外への輸出に際して、日本国政府の輸出許可（または役務取引許可）が必要です。 

■本製品の使用に際しては、本書に記載した使用方法に沿ってご使用ください。特に、注意事項として記載 
された取扱方法に違反する使用はお止めください。 

■弊社は、製品の故障に関して一定の条件下で修理を保証しますが、記憶されたデータが消失 • 破損した場 
合については、保証しておりません。本製品が八ードディスク等の記憶装置の場合または記憶装置に接続 
して使用するものである場合は、本書に記載された注意事項を遵守してください。また、必要なデータは 
パックアップを作成してください。お客様が、本書の注意事項に違反し、またはパックアップの作成を 
怠ったために、データを消失 • 破棄に伴う損害が発生した場合であっても、弊社はその責任を負いかねま 
すのであらかじめご了承ください。 

■ 本製品に起因する債務不履行または不法行為に基づく損害賠償責任は、弊社に故意または重大な過失が 
あった場合を除き、本製品の購入代金と同額を上限と致します。 

■ 本製品に隠れた瑕疵があった場合、無償にて当該瑕疵を修補し、または瑕疵のない同一製品または同等品 
に交換致しますが、当該瑕疵に基づく損害賠償の貴に任じません。 ; 
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八ードウエア IP フィルタ機能について 

機能概要 


八ードウエア IP フイルタ機能の概要ついて説明します。 


八ードウエア IP フィルタ機能について 


八ードウエア IP フィルタ機能は、ポートの通過を許可 ( permit ) または拒否 ( deny ) する IP パケット 
の条件を定義したリストです。 

作成したリストを特定のポートに適用することにより、 IP アドレスやポート番号などの条件でソく 
ケットの通過を許可または拒否することができます。 

これにより、スループットを落とすことなく特定のパソコンのネットワークアクセスを制御し、セ 
キユリティを向上させることができます。 

naa 八ードウエア ip フィルタ機能は、コマンドラインインターフエースからのみ設定できま 
す。コマンドラインインターフエースについての詳細は、リファレンスガイド（付属 
CD に収録）を參照してください。 


設定の前に（初期設定) 


八ードウエア IP フィルタ機能の設定をおこなう前に、設定をおこなうパソコンと本製品について、 
以下の操作をおこなってください。 

• ネットワーク接続 （ Telnet ) またはコンソール接続（八イパーターミナルなど） 

• 本製品へのログイン 
• 本製品の IP アドレスの設定 
• 特権モード (Privileged Exec ) へのアクセス 
• Configuration モードへの移行 


r « a 各操作の詳細は、本製品付属の導入ガイドまたはリファレンスガイド（付属 cd に収録)を 
參照してください。 
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第 1 章機能概要 


八ードウエア IP フィルタ機能設定のながれ 

八ードウエア IP フィルタ機能設定のながれは、以下の通りです。 

r « a 八ードウエア ip フィルタ機能は、コマンドでのみ設定できます。 

( Web 画面上では設定できません） 

1 条件リスト (Access Control List : ACL) の作成 



2条件の定義(ルール)の作成 



3条件を適用するインターフェースの選択 



4条件の適用 



5設定内容の保存 


設定例：ポート 15 へ ACL 名 r buffalo-testj を適用する場合 


BS - G 3024 MR # configure 

. Config モド へ 移 ィ了 

BS - G 3024 MR ( config ) # access-list buffalo - 
test 

. 1条件リスト rbuffalo-testj を作成 

BS - G 3024 MR ( config - access )# permit 

192.168.10.0/24 any any any any any 

〜_• 2 条件の定義（ルール）を作成 

BS - G 3024 MR ( config - access )# deny 

192.168 .2.0/16 192.168 .1.0/24 any any 
any any 

条件の定義（ルール）を作成 

BS - G 30241 VIR (conf ig - access ) # deny any any 
any any any any 

条件の定義（ルール）を作成 

BS - G 30241 VIR (conf ig - access ) # exit 

. Config モド〖し民る 

BS - G 3024 MR ( config )# interface Ethernet 

15 

3設定する対象ポートを指定 

BS - G 3024 MR ( config - if )# ip access-list 
buffalo-test inbound 

. 4 上記ポートに r buffalo-testj を設定 

BS - G 3024 MR ( config - if )# exit 

. Config モドに民る 

BS - G 3024 MR ( config )# system save 

…” 5 設定内容の保存 

BS - G 3024 MR ( config )# exit 

••… 特権モードに戻る 
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サーバと、特定のネットワークとの通信を拒否する 


設定例 


八ードウエア IP フィルタ機能の設定例を説明します。下記の設定例はあくまで 
も1例ですので、実際の環境にあわせて設定してください。 


サーバと、特定のネットワークとの通信を拒否する 


この例では、特定ポートに接続された VLAN と特定サーバとの通信を不可とする設定をおこない 
ます。 

使用環境（前提条件） 

VLAN -1 (ポート 1) と VLAN -2( ポート 2) と VLAN _3( ポート 3) が存在し、 VLAN 間のルーティ 
ングが可能な環境とします。 

フィルタリング条件 

VLAN -1 のポート1に接続しているパソコンすベてから、 VLAN -3 のサーバへ通信を拒否する 
設定にします。また、 VLAN -3 のサーバから、 VLAN -1 のネットワークへの通信を拒否する設定 
にします0 


VLAN-1 
ポート 1 

192.168 .1.1/24 


VLAN-3 
ポート 3 

192.168 .3.1/24 


3 5 7 9 11 13 15 17 19 21 23A 


OL JO IL JOv JO IL JOv JU 

4 6 8_10_12 — 14 — 16_18 — 20 — 22 — 24A 


23B 24B 


□ □□□ 


192.168 .1.8 


I 

VLAN-2 
ポート 2 

192.168 .2. 1/24 


192.168 .2.35 


192.168 .3.54 


-通信可の- 


-通信可〇- 


通信不可 X - 
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第 2 章設定例 


BS - G 3024 MR # configure terminal … 

•• Config モードへ移行 

BS - G 3024 MR ( config ) # access-list testl … 

•• 条件リスト 「 testlj を作成 

BS - G 3024 MR (conf ig - access ) # deny ••• 

192.168 .1.0/24 192.168 .3.54/32 

”192.168 .1.0/24 から192_ 168.3.54/32 
へのアクセスを拒否する 

BS - G 30241 VIR (conf ig - access ) # exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# access-list test 2 … 

•• 条件リスト r test 2 j を作成 

BS - G 30241 VIR (conf ig - access ) # deny "• 

192.168 .3.54/32 192.168.1.0/24 

•• 192.168 .3.54/32 から192.168 .1.0/24 
へのアクセスを拒否する 

BS - G 30241 VIR (conf ig - access ) # exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# interface ethernet 1 … 

•• ポート1の設定開始 

BS - G 3024 MR (conf ig-if ) # ip access-list ••• 

testl inbound 

“ 「 testlj を inbound として設定 

BS - G 3024 MR ( config-if )# exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# interface ethernet 3 … 

•• ポート3の設定開始 

BS - G 3024 MR (conf ig-if ) # ip access-list ••• 

test 2 inbound 

•• 「 test 2 j を inbound として設定 

BS - G 3024 MR ( config-if )# exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# system save … 

•• 設定内容の保存 

BS - G 3024 MR ( config )# exit … 

•• 特権モードに戻る 
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特定の IP アドレスからの通信を許可する 


特定の IP アドレスからの通信を許可する 


この例では、特定の IP アドレスをもったパソコンからのみ、特定の VLAN への通信を許可する設定 
をおこないます。 

使用環境（前提条件） 

VLAN -1 (ポート 1) と VLAN -2( ポート 2) が存在し、 VLAN 間のルーティングが可能な環境とし 
ます。 

フィルタリング条件 

VLAN -1 のポート1の配下にあるパソコン （192.168.1.10) からのみ、 VLAN -2 のネットワークへ 
の通信を許可する設定にします。また、 VLAN -2 のポート2の配下にあるパソコンから、 VLAN - 
1のパソコン （192.168.1.10) 以外への通信を拒否する設定にします。 


VLAN -1 
ポート1 


VLAN -2 
ポート2 
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第 2 章設定例 


BS - G 3024 MR # configure terminal … 

•• Config モードへ移行 

BS - G 3024 MR ( config ) # access-list testl … 

•• 条件リスト 「 testlj を作成 

BS - G 3024 MR ( config - access )# permit "• 

192.168 .1.10/32 192.168 .2.0/24 

•• 192.168 .1.10/32 から192.168 .2.0/24 
への通信を許可する 

BS - G 3024 MR ( config - access )# deny any … 

192.168 .2.0/24 

•• 上記条件以外で、宛先 IP アドレスが 
192.168 .2.0/24 への通信を拒否する 

BS - G 30241 VIR (conf ig - access ) # exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# access-list test 2 … 

•-条件リスト r test 2 j を作成 

BS - G 30241 VIR (conf ig - access ) # permit … 

192.168 .2.0/24 192.168.1.10/32 

•• 192.168 .2.0/24 から192.168 .1.1 0/32 
への通信を許可する 

BS - G 30241 VIR (conf ig - access ) # deny any •" 

192.168 .1.0/24 

•• 上記条件以外で、宛先 IP アドレスが 
192.168 .1.0/24 への通信を拒否する 

BS - G 30241 VIR (conf ig - access ) # exit … 

•• Config モードに戻る 

BS - G 3024 MR (conf ig ) # interface ethemet 1 … 

•• ポート1の設定開始 

BS - G 3024 MR (conf ig-if ) # ip access-list ••• 

testl inbound 

” 「 testlj を inbound として設定 

BS - G 3024 MR ( config-if )# exit … 

•• Config モードに戻る 

BS - G 3024 MR (conf ig ) # interface ethemet 2 … 

•• ポート2の設定開始 

BS - G 3024 MR (conf ig-if ) # ip access-list ••• 

test 2 inbound 

•• 「 test 2」 を inbound として設定 

BS - G 3024 MR ( config-if )# exit … 

•• Config モードに戻る 

BS - G 3024 MR ( config )# system save … 

•• 設定内容の保存 

BS - G 3024 MR ( config )# exit … 

•• 特権モードに戻る 
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TCP の片方向通信を許可する 


TCP の片方向通信を許可する 


この例では、片側からの TCP 通信を可能とし、もう片方からの TCP 通信を不可とする設定をおこな 
います。 

使用環境（前提条件） 

VLAN -1 (ポート 1) と VLAN -2( ポート 24) が存在し、ルーティングが可能な環境とします。 

フィルタリング条件 

TCP プロトコル通信（プロトコル番号 6) のみを許可し、ポート24で受信する接続要求パケット 
( SYN パケット）は拒否します。 

(ポート1側から開始する TCP 通信を許可し、ポート24側から開始する TCP 通信を拒否します） 


BUFFALO 




1 3 5 7 9 11 13 15 17 19 21 23A 

runnni innnni innnn 


□l jnLJi ini jnLJi ini jui j 

2 4 6 8 10 — 12_14 16 18_20 22 


屬 l>iiMina.vi.Svvilch| 

23B 24B 25 26 

□ □□□ 


VLAN-1 
ポート 1 

192.168 .1.1/24 


VLAN-2 
ポート 24 
192.168 .2.1/24 




TCP … 0 午可) . 

.U^-TCP 


$ 


192.168 .1.8 


192.168 .2.35 


• ポート 1 側からの通信 

VLAN-1 VLAN-2 



• ポート24側からの通信 

VLAN-1 VLAN-2 


拒否 X 
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第 2 章設定例 


BS - G 3024 MR # configure terminal 


•• Config モードへ移行 

BS - G 3024 MR ( config )# access-list 

testl .… 

•• 条件リスト 「 testlj を作成 

BS - G 3024 MR ( confiq - access )# permit any 
any 6 

•• プロトコル番号6 ( TCP ) の通信を 
許可する 

BS - G 3024 MR ( config - access )# deny 

any any .… 

•• 上記条件以外の通信を拒否する 

BS - G 3024 MR ( config - access )# exit 


•• Config モードに戻る 

BS - G 3024 MR ( config )# access-list 

test 2 .… 

•• 条件リスト r test 2 j を作成 

BS - G 3024 MR ( config - access )# deny 
6 any any 2 

any any •••• 

- プロトコル番号6 ( TCP ) かつ 、 TCP 
コントロールコード2 ( SYN ) を拒否 
する 

BS - G 30241 VIR (conf iq - access ) # permit any 
any 6 

•• 上記条件以外の TCP 通信を許可する 

BS - G 3024 MR ( confiq - access )# deny any any .… 

•• 上記条件以外の通信を拒否する 

BS - G 30241 VIR (conf ig - access ) # exit 


•• Config モードに戻る 

BS - G 3024 MR (conf ig ) # interface ethemet l .… 

•• ポート1の設定開始 

BS - G 3024 MR (conf ig-if ) # ip access-list •••• 

testl inbound 

•• 「 testlj を inbound として設定 

BS - G 3024 MR ( config-if )# exit 


•• Config モードに戻る 

BS - G 3024 MR (conf ig ) # interface ethernet •••• 
24 

•• ポート24の設定開始 

BS - G 3024 MR ( config-if )# ip access 
test 2 inbound 

3 -list •… 

” r test 2」 を inbound として設定 

BS - G 3024 MR ( config-if )# exit 


•• Config モードに戻る 

BS - G 3024 MR ( config )# system save 


•• 設定内容の保存 

BS - G 3024 MR ( config )# exit 


•• 特権モードに戻る 
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特定アプリケーションの通信を許可する 


特定アプリケーションの通信を許可する 


この例では、任意のポートに接続されたパソコン間で、特定のアプリケーションの通信のみ可能に 
する設定をおこないます。 

使用環境（前提条件） 

VLAN -1 (ポート 1) と VLAN -2( ポート 2) が存在し、 VLAN 間のルーティングが可能な環境とし 
ます。 

フィルタリング条件 

VLAN-U 2間において、 SNMP アプリケーシヨン ( UDP ポート番号 161) による通信のみを許可 
し、他の通信は拒否します。 


3 5 7 9 11 13 15 17 19 21 23A 

annn! innnni innnn 




フ ^^ J 


□ □□□ 


VLAN-1 
ポート 1 

192.168 .1.1/24 


192.168 .1.8 


SNMP による 
通信のみ可能 

■……… <tE) . 

その他の通信は不可 


VLAN-2 
ポート2 

192.168 .2. 1/24 


192.168 .2.35 


♦ : SNMP 通信…〇 
♦:その他の通信…父 
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第 2 章設定例 


BS-G3024MR# configure terminal •… 

•• Config モードへ移行 

BS-G3024MR(config) # access-list testl .… 

•• 条件リスト 「 testlj を作成 

BS-G3024MR(confiq-access)# permit any 
any 17161 any 

” プロトコル番号 17 (UDP) かつ、送 
信元ポート番号が 161 の通信を許可 
する 

BS-G 30241 VIR (conf iq-access) # permit any 
any 17 any 161 

” プロトコル番号 17 (UDP) かつ、 

宛先ポート番号が 161 の通信を許可 
する 

BS-G3024MR(config-access)# deny any any … 

•• 上記条件以外の通信を拒否する 

BS-G3024MR(config-access)# exit … 

•• Config モードに戻る 

BS-G3024MR(config)# interface ethernet 1 … 

•• ポート 1 の設定開始 

BS-G3024MR (conf ig-if) # ip access-list ••• 

testl inbound 

•• 「 testlj を inbound として設定 

BS-G3024MR(config-if)# exit … 

•• Config モードに戻る 

BS-G3024MR(config)# interface ethernet 2 … 

•• ポート 2 の設定開始 

BS-G3024MR (conf ig-if) # ip access-list ••• 

testl inbound 

“ 「 testlj を inbound として設定 

BS-G3024MR(config-if)# exit … 

•• Config モードに戻る 

BS-G3024MR(config)# system save … 

•• 設定内容の保存 

BS-G3024MR(config)# exit … 

•• 特権モードに戻る 
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八ードウエア IP フィルタ機能コマンドー覧 

コマンドリファレンス 


八ードウエア IP フィルタ機能に関するコマンドについて説明します。 


八ードウ X ア IP フィルタ機能コマンドー覧 

八ードウエア IP フィルタ機能に関するコマンドは、以下の通りです。 


コマンド 

説明 

ページ 

access-list 
no access-list 

条件リスト （ACU アクセスコントロールリス 
卜）を追加/削除します。 

14ページ 

permit / deny 
no permit / no deny 

フィルタのルール作成/削除をおこないます。 
permit を指定した場合は、対象のパケットを 
通過させます。 deny を指定した場合は、対象 
バケットを破棄します。 

14ページ 

ip access-list 
no ip access-list 

条件リストをポートに適用/削除します。 

16ページ 

show access-list 

条件リストの情報を表示します。 

17ページ 

show access-list 
<list_name> 

指定した条件リストの情報を表示します。 

17ページ 

show access-list status 

条件リストのリソース情報を表示します。 

18ページ 
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コマンド解説 


access-list 
no access-list 

条件リスト （ACL :アクセスコントロールリスト）を追加/削除します。 

【コマンドの構文】 

access-list 〈 list 一 name> 
no access-list〈list name> 


【パラメータ】 

< list _ name > 条件リストの名前を、半角英数字、”-”（八イフン）、”」’（アン 

ダーパー）で14文字以内（スペースは不可）で指定こます。 

【デフオルト設定】 

なし 

【コマンドモード】 

Global configuration 

【コマンドの例】 


BS-G3024MR# configure 

BS-G3024MR(config) # access-list buffalo 
BS-G3024MR(config-access)# 


※条件リストは、最大128個まで作成できます。 

permit / deny 
no permit / no deny 

フィルタのルール作成广削除をおこないます。 

permit を指定した場合は、対象のバケツトを通過させます。 

deny を指定した場合は、対象バケツトを破棄します。 

【コマンドの構文】 

permit <src_ip> <dst_ip> <protocoi_number> <src_port> <dst_port> 
<tcp_control_code> 

deny <src_ip> <dst—ip> <protocol_number> <src_port> <dst_port> 
<tcp_control_code> 

no permit <src_ip> <dst 一 ip> 〈 protocol 一 number> <src_port> <dst 一 port> 
<tcp_control_code> 

no deny <src_ip> <dst_ip> <protocol_number> <src_port> <dst_port> 
<tcp_control_code> 
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コマンド解説 

【パラメータ】 

< src _ ip > 送信元 IP とネットマスクを指定します。 

(例：192.168 .1.10/32) 

< dst _ ip > 送信先 IP とネットマスクを指定します。 

(例：192.168 .2.20/25) 

< protocol _ number > IP プロトコル番号 （1 〜 255) を指定します。 

(例 : ICMP l ' TC . P 6 、UDP 17) 

< src _ port > TC . P / UDP 送信元ポート番号 （1 〜 65535) を指定します。 

< dst _ port > TCP / UDP 送信先ポート番号 （1 〜 65535) を指定します。 

< tcp _ control _ code > TCP 制御コード （ FIN 、 SYN 、 RST ' PSH 、 AC . K 、 URG ) を1〜63 
で指定します。 

【デフオルト設定】 

なし 

【コマンドモード】 

AC し connguration 

【コマンドの例】 

BS-G3024MR# configure 

BS-G3024MR(config) # access-list buffalo-test 

BS-G3024MR(config-access)# permit 192.168.10.0/24 any any any any 
any 

BS-G 3024 MR(config-access)# deny 192.168.2.0/16192.168.1.0/24 any 
any any any 

BS-G 30241 VIR (conf ig-access) # deny any any any any any any 
BS-G3024MR(config-access)# 

※ 各パラメータに any を指定することができます。 any を指定した項目は評価されません。 

※ く protocol _ number >、 く src _ port >、 く dst _ port >、< tcp _ contlol _ code > は省略できます。省略 
した場合は、 any を指定したのと同じになります。 

例えば 、 deny 192.168 .1.1/24 192.168 .2. 1/24ルールは 、 deny 192.168 .1.1/24 192.16 8.2.1/ 
24 any any any any ルールと同等になります。 

ただし、 < src _ port > を指定した場合、 < dst _ port > は省略できません。 

※く src _ ip >、< dst _ ip > にマルチキヤストアドレスや0.0.0.0、255.255 .255.255 を指定するこ 
とはできません。 

※く src _ port >、 く dst _ port > は、く protocol _ number > が6 ( TCP ) または17 ( UDP ) のときの 
み指定できます。 

※く tcp _ contlol _ code > は、く protocol _ number > が6 ( TCP ) のときのみ指定できます。 

※ TCP の制御コードは、下位ビットからそれぞれ FIN 、 SYN 、 RST 、 PSH 、 ACK 、 URG で 
す。例えば、 SYN ビットのみセットするときは2を、 ACK と SYN ビットをセットすると 
きは18を指定します。 

※1つの条件リストの中に最大16個までルールを追加できます。 

※1つの条件リストの中に deny ルールが1つも存在しない場合、すべてのパケットが通過し 
ます。最低1つ deny ルールを指定してください。 

※ deny any any any any any any ルールを指定する場合、一番最後に追加してください。 
(途中の行で指定しても、実際は一番最後に実行されます） 
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※本製品自身が送信するパケット （ RIP 、 SNMP トラップなど）は、 outbound で deny ルール 
が設定されていても破棄されません。 

※ポートに条件リストが適用されている状態で、条件リストの内容を変更することはできま 
せん。 


ip access-list 
no ip access-list 

条件リストをポートに適用/削除します。 

【コマンドの構文】 

ip access-list 〈 list 一 name> く inbound | outbound 〉 
no ip access-list〈list name 〉 く inbound | outbound 〉 


【パラメータ】 


< list _ name > 条件リストの名称 ( access - list コマンドで作成済みの名称）を 

指定します。 

く inbound | outbound〉inbound : 入カパケットに適用します 0 
outbound :出カパケットに適用します。 

【デフォルト設定】 

なし 

【コマンドモード】 

Interface configuration 

【コマンドの例】 


BS-G3024MR# configure 

BS-G3024MR(config) # interface ethernet 15 

BS-G3024MR(config-if)# ip access-list buffalo-list1 inbound 
BS-G3024MR(config-if)# ip access-list buffalo-list2 outbound 
BS-G3024MR(config-if)# exit 
BS-G3024MR(config)# 


※ permit ルールを含む条件リストを outbound に適用することはできません 0 
※1つの物理ポートの1つの方向には、1つの条件リストのみ適用してください。 

※1つの条件リストを inbound と outbound の両方に適用することはできません 0 
※ポートに適用した条件リストを別の条件リストに適用し直す場合、先に適用した条件リス 
卜を no ip access-list コマンドで削除してから新しい条件リストを適用してください。 
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コマンド解説 


show access-list 

条件リストの情報を表示します。 

【コマンドの構文】 

show access-list 
【パラメータ】 

なし 

【デフオルト設定】 

なし 

【コマンドモード】 

Privileged EXEC 

【コマンドの例】 

BS-G3024MR# show access-list 

LIST1 LIST2 LIST3 LIST4. 

BS-G3024MR# 


show access-list <list_name> 

指定した条件リストの情報^表示します。 

【コマンドの構文】 

show access-list <list name > 

【パラメータ】 

< list _ name > 条件リストの名称を指定します。 

【デフオルト設定】 

なし 

【コマンドモード】 

Privileged EXEC 

【コマンドの例】 

BS-i 33024 MR# show access-list LIST1 
<ACL rule> 

permit 192.168.10.0/24 any any any any any 
deny any any any any any any 

<Port bindinq> 

Port3 - Inbound 
BS-G3024MR# 
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show access-list status 

条件リストのリソース情報を表示します。 

【コマンドの構文】 

show access-list status 
【パラメータ】 

なし 

【デフオルト設定】 

なし 

【コマンドモード】 

Privileged EXEC 

【コマンドの例】 



※ Unused list table は未使用の条件リスト数 、 Used list table は使用済みの条件リスト数 、 Total 
list table は本製品でサボートする条件リスト数を表します。 
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IP プロトコル番号と TCP 制御コード 


IP プロトコル番号と TCP 制御コード 


主な ip プロトコル番号 


IP プロトコル番号 

プロトコル名 

1 

ICMP 

2 

IGMP 

6 

TCP 

17 

UDP 


TCP 制御コードー覧 


ビット 

制御コード名 

5 

URG 

4 

ACK 

3 

PSH 

2 

RST 

1 

SYN 

0 

FIN 


例： SYN のみセツトされている制御コードを指定する場合「000010」なので2、 SYN と ACK 
のみセツトされている制御コードを指定する場合「010010」なので18、になります。 
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MEMO 
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